ONTAP 9.6 以降でオンボードキー管理を有効にする( NVE )
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
オンボードキーマネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームまたは自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。
を実行する必要があります security key-manager onboard sync
コマンドはクラスタにノードを追加するたびに実行します。
MetroCluster構成を使用している場合は、 security key-manager onboard enable
最初にローカルクラスタでコマンドを実行してから、 security key-manager onboard sync
リモートクラスタで同じパスフレーズを使用してコマンドを実行します。を実行すると security key-manager onboard enable
ローカルクラスタからコマンドを実行し、リモートクラスタで同期する必要はありません。 enable
リモートクラスタからコマンドを再実行します。
デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。を使用できます cc-mode-enabled=yes
リブート後にユーザにパスフレーズの入力を求めるオプション。
NVEの場合は、を設定します cc-mode-enabled=yes`を使用して作成したボリューム `volume create
および volume move start
コマンドは自動的に暗号化されます。の場合 volume create`を指定する必要はありません `-encrypt true
。の場合 volume move start`を指定する必要はありません `-encrypt-destination true
。
保管データの ONTAP 暗号化を設定する場合、 CSfC ( Commercial Solutions for Classified )の要件を満たすために、 NVE で NSE を使用し、 Common Criteria モードでオンボードキーマネージャが有効になっていることを確認する必要があります。を参照してください "CSfC 解決策 Brief ( CSfC の概要" CSfC の詳細については、を参照してください。
オンボードキーマネージャがCCモードで有効になっている場合 (
|
オンボードキーマネージャは、揮発性メモリにキーを格納します。揮発性メモリの内容は、システムのリブート時または停止時にクリアされます。通常の動作条件下では、システムが停止すると 30 秒以内に揮発性メモリの内容がクリアされます。 |
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
オンボードキーマネージャを設定する前に、 MetroCluster 環境を設定する必要があります。
-
キー管理ツールのセットアップを開始します。
security key-manager onboard enable -cc-mode-enabled yes|no
設定
cc-mode-enabled=yes
リブート後にユーザにキー管理ツールのパスフレーズの入力を求める場合。NVEの場合は、を設定しますcc-mode-enabled=yes`を使用して作成したボリューム `volume create
およびvolume move start
コマンドは自動的に暗号化されます。。- cc-mode-enabled
オプションはMetroCluster 構成ではサポートされません。 。security key-manager onboard enable
コマンドは、に置き換わるものですsecurity key-manager setup
コマンドを実行します次の例では、リブートのたびにパスフレーズの入力を求めずに、 cluster1 でキー管理ツールの setup コマンドを開始します。
cluster1::> security key-manager onboard enable Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1":: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
パスフレーズのプロンプトで 32 ~ 256 文字のパスフレーズを入力します。または、 64 ~ 256 文字のパスフレーズを「 cc-mode] 」に入力します。
指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。
-
パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。
-
認証キーが作成されたことを確認します。
security key-manager key query -key-type NSE-AK
。
security key-manager key query
コマンドは、に置き換わるものですsecurity key-manager query key
コマンドを実行しますコマンド構文全体については、マニュアルページを参照してください。次の例は、の認証キーが作成されたことを確認します
cluster1
:cluster1::> security key-manager key query -key-type NSE-AK Node: node1 Vserver: cluster1 Key Manager: onboard Key Manager Type: OKM Key Manager Policy: - Key Tag Key Type Encryption Restored ------------------------------------ -------- ------------ -------- node1 NSE-AK AES-256 true Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000 node1 NSE-AK AES-256 true Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000 2 entries were displayed.
-
必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。
volume encryption conversion start
ボリュームを変換する前に、オンボードキーマネージャの設定が完了している必要があります。MetroCluster環境では、両方のサイトでオンボードキーマネージャを設定する必要があります。
あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーしておきます。
オンボードキーマネージャのパスフレーズを設定するときは、災害時に備えて、ストレージシステムの外部の安全な場所にも手動で情報をバックアップしておく必要があります。を参照してください "オンボードキー管理情報を手動でバックアップ"。